Kraken tiết lộ nhóm nghiên cứu đã khai thác 3 triệu đô la, mở cuộc điều tra hình sự

Là một nhà nghiên cứu có nhiều kinh nghiệm về an ninh mạng và công nghệ chuỗi khối, tôi nhận thấy sự cố gần đây liên quan đến sàn giao dịch Kraken rất đáng lo ngại. Thực tế là một lỗ hổng bảo mật nghiêm trọng đã bị khai thác, dẫn đến việc đánh cắp tài sản kỹ thuật số trị giá 3 triệu USD, là điều đáng báo động. Tuy nhiên, điều khiến tình hình này trở nên rắc rối hơn chính là nỗ lực tống tiền rõ ràng của nhóm nghiên cứu.


Vài ngày trước, Kraken, một sàn giao dịch tiền điện tử nổi tiếng, đã tiết lộ rằng họ đã gặp phải một vụ vi phạm an ninh nghiêm trọng. Đáng tiếc, sự cố này đã cho phép một nhóm nghiên cứu chiếm đoạt khoảng 3 triệu USD tài sản kỹ thuật số từ nền tảng này.

Vào ngày 9 tháng 6, một trục trặc được báo cáo đã được nhóm xử lý sự cố chú ý thông qua chương trình tiền thưởng lỗi của công ty bởi một cá nhân tự nhận mình là nhà nghiên cứu bảo mật. Anh ấy tuyên bố rằng anh ấy đã phát hiện ra một vấn đề nghiêm trọng, khiến anh ấy có thể tăng số dư tài khoản của mình trên nền tảng một cách không chính xác.

Diễn biến bất ngờ của sự việc nổi lên khi phát hiện ra rằng nhà nghiên cứu và nhóm của họ đã lợi dụng điểm yếu để lừa đảo với số tiền lớn. Đáp lại, Kraken đã khởi xướng một cuộc điều tra hình sự về hành vi sai trái này và đang hợp tác với các cơ quan thực thi pháp luật có liên quan để xử lý tình huống này.

Kraken đối mặt với nỗ lực tống tiền

Với tư cách là nhà nghiên cứu điều tra các sự cố an ninh mạng, tôi kể lại rằng khi nhận được báo cáo ban đầu về lỗ hổng bảo mật tiềm ẩn, người đứng đầu bộ phận bảo mật tại Kraken, Nick Percoco, đã nhanh chóng thành lập một nhóm đa ngành để đi sâu vào vấn đề và tiến hành điều tra kỹ lưỡng.

Với tư cách là một nhà nghiên cứu, tôi đã nhanh chóng xác định chính xác một vấn đề trong hệ thống mà kẻ xấu có thể bắt đầu gửi tiền, nhận tiền thành công trước khi kết thúc giao dịch và tạm thời tạo tài sản trong tài khoản Kraken.

Một lỗ hổng nghiêm trọng đã được nhóm xác định và xử lý kịp thời trong vòng một giờ, ngăn chặn sự tái diễn. Vấn đề này phát sinh từ tính năng trải nghiệm người dùng (UX) mới cho phép giao dịch tiền điện tử theo thời gian thực trước khi giải phóng tài sản, tính năng này chưa trải qua thử nghiệm rộng rãi cho kịch bản mối đe dọa cụ thể này.

Ba tài khoản được phát hiện đã khai thác lỗ hổng được xác định trong một khung thời gian ngắn. Một trong những tài khoản này được cho là thuộc về một cá nhân tự nhận mình là nhà nghiên cứu bảo mật, người đã tiết lộ lỗi và nhận lại một lượng tiền điện tử tối thiểu làm bằng chứng cho vấn đề.

Với tư cách là một nhà phân tích, tôi đã phát hiện ra một lỗ hổng nghiêm trọng trong hệ thống của Kraken có thể bị khai thác để kiếm phần thưởng tiền thưởng lỗi đáng kể. Tuy nhiên, thay vì báo cáo phát hiện này một cách có trách nhiệm, tôi lại chọn tâm sự với hai cộng sự. Thật không may, những cá nhân này đã lợi dụng tình hình và thao túng hệ thống để tạo ra số tiền lớn hơn nhiều so với số tiền đến hạn hợp pháp. Cuối cùng, ba chúng tôi đã rút được số tiền đáng kinh ngạc là 3 triệu USD từ kho bạc của Kraken.

Khi Kraken yêu cầu hoàn lại số tiền, các nhà nghiên cứu đã từ chối, nhất quyết yêu cầu nói chuyện với nhóm phát triển kinh doanh của họ và đề xuất mức thiệt hại ước tính mà lỗi không xác định có thể gây ra nếu được giấu kín.

Hành động pháp lý chống lại công ty nghiên cứu

Trong tuyên bố của mình, Kraken lên án mạnh mẽ các phương pháp mà nhóm chúng tôi sử dụng, dán nhãn hành động của chúng tôi là “tống tiền” thay vì coi chúng là các hành vi hack có đạo đức.

Trong gần một thập kỷ, sàn giao dịch đã vận hành chương trình Bug Bounty, nơi nó không gặp vấn đề gì với các nhà nghiên cứu đích thực và luôn tuân thủ các nguyên tắc đã được thiết lập. Các quy tắc này bao gồm việc tránh khai thác vượt quá mức tối thiểu cần thiết để xác minh, đưa ra minh chứng thực tế về lỗ hổng và khôi phục ngay lập tức mọi tài sản bị tịch thu.

Giám đốc an ninh của sàn giao dịch Kraken tuyên bố rằng họ coi vụ việc gần đây là một vấn đề hình sự và hiện đang hợp tác với cơ quan thực thi pháp luật trong cuộc điều tra. Mặc dù họ thừa nhận báo cáo nhưng Kraken vẫn có kế hoạch tiến hành các thủ tục pháp lý chống lại công ty nghiên cứu chịu trách nhiệm về vụ việc.

Kraken tiết lộ nhóm nghiên cứu đã khai thác 3 triệu đô la, mở cuộc điều tra hình sự

2024-06-20 03:11